為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記 XSS Cross Site Scripting 相關的預防方式。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146881
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
不要信賴客戶端所提供的資料。因此可以在送入資料庫或是輸出到客戶端時,可以先行過濾
以 php 而言,有 htmlspecialchars() 和 htmlentities() 兩者可以使用。前者會轉換 ><“‘& 五個。後者則是預設採 HTML 4.01 的實體編碼方式和轉換雙引號
